Ethical Hackers: Os Seguranças Virtuais
Entenda como trabalham os profissionais responsáveis por verificar e sugerir mudanças na segurança de sistemas virtuais a fim de protegê-los de pessoas mal intencionadas.
Por Giuseppe Di Giuseppe Deininger
Com
o começo da era digital e a virtualização dos dados, muitas empresas optaram
por manter suas informações dentro da rede, seja para uso de seus funcionários
ou para troca de informações com terceiros, e assim como no meio real, existem
pessoas mal intencionadas dispostas a roubar esses dados para fins ilícitos.
Dentro do grupo de profissionais capazes de invadir sistemas virtuais
existem três subgrupos, separados de acordo com a finalidade da invasão. O
primeiro deles, o black hat, é o mais
conhecido e o que justifica a fama negativa dos hackers. Eles fazem suas ações unicamente para benefício próprio,
entre elas roubar número de cartões de créditos e roubar informações de pessoas
ou empresas para vendê-las para organizações criminosas. O segundo grupo é o
dos white hat, que são hackers contratados por empresas para
testar sua segurança e sugerir melhorias. Eles trabalham sempre dentro da lei e
dentro de limites definidos pela organização que os contratou, e, devido a
isso, são chamados também de ethical
hackers. O último grupo é o dos grey
hat, o intermediário do black hat
e do white hat. Seus integrantes não
fazem suas ações apenas para benefício próprio, mas em algumas situações agem
de maneira ilegal, como descobrir um defeito de um sistema sem permissão e
então trocar qualquer informação descoberta por uma recompensa.
Dentro
dos métodos de penetração também existem
três grupos com nomes semelhantes, que são diferenciados de acordo com a
informação fornecida ao profissional antes de começar seu trabalho. O primeiro
deles é o white box,
método em que o hacker possui todas
as informações a respeito do sistema e dos equipamentos, permitindo que uma
pesquisa prévia seja feita. Sua principal vantagem é o tempo de duração do
teste, pois, tendo as informações, algumas etapas intermediárias são evitadas,
acelerando o processo.
No
outro extremo está o black box,
método em que o hacker não possui
qualquer informação a respeito do alvo, e portanto ele deve começar na mesma
situação que um black hat, e passar
por cinco passos importantes até chegar nas informações da empresa. São eles:
estudo do ambiente, importante para adquirir informação dos funcionários para
um possível uso de engenharia social a fim de conseguir algum dado específico;
determinação do sistema, pois cada um possui características únicas e falhas
que podem ser aproveitadas. Após a obtenção dos dados, os passos seguintes se
resumem a ganhar acessos, aumentar os privilégios a fim de ter acesso a dados
mais importantes e por último cobrir os rastros para que não seja descoberto. A
principal vantagem desse método é a semelhança com situações reais, pois o
profissional começa na mesma situação que um criminoso começaria, porém, é um
método que leva bem mais tempo, e consequentemente é bem mais caro.

Figura 1. . Fases de um teste de penetração. Fonte: http://searchsecurity.techtarget.com/tip/Understanding-footprinting-as-a-predecessor-to-cyberattacks.
Para
mesclar as caracteríscas positivas de cada método, existe o método grey box, em que o profissional recebe
alguns dados a respeito do sistema para começar a trabalhar, porém não todos.
Isso faz o processo mais rápido sem perder a confiabilidade do trabalho. Outra
vantagem do método é estudar as chances de um funcionário conseguir acesso ao
sistema de um departamento do qual ele não faz parte.
Levando
em conta os perigos de ter uma rede vulnerável e das qualidades de um ethical hacker bem treinado, é de
extrema importância que as empresas que possuam condições façam seus sistemas
passarem por um teste de penetração de acordo com suas necessidades e
disponibilidades, pois os problemas causados por uma invasão podem ser
gigantescos. Alguns serviços virtuais exigem uma certificação de segurança que
envolvem submeter o sistema a um teste de penetração pelo menos anualmente,
pois na maioria das vezes envolvem informações pessoais importantes de seus
usuários.
Referências:
Ethical Hacking. Jaskolj. Disponível em http://wiki.cas.mcmaster.ca/index.php/Ethical_Hacking. Acesso em 30 de setembro de 2016.
Three Different Shades of Ethical Hacking: Black, White and Gray. David M. Hafele. SANS Institute. 23 de fevereiro de 2016.
Hacker Hat Colors Explained. Chris Hoffman. Disponível em http://www.howtogeek.com/157460/hacker-hat-colors-explained-black-hats-white-hats-and-gray-hats/. Acesso em 30 de setembro de 2016.
|